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METHODE DE REDUCTION MODULAIRE ALEATOIRE ET EQUIPEMENT 

ASSOCIE 

La presente invention concerne une methode de 
traitement et de calcul ari thmetique, destinee a etre 
utilises particulierement dans les applications 
cryptographiques . La presente invention concerne en 
particulier le calcul des residus impliquant une reduction 
modulaire, particulierement les calculs derives de la 
methode de reduction de Barrett. 

De nombreux algorithmes cryptographiques utilisent la 
multiplication (ou 1 ' exponentiation) de grands entiers et 
la reduction du produit a une valeur residuelle qui est 
congruente avec un module specifie assoeie a la cle 
cryptographique . Ces calculs peuvent faire 1'objed 
d'attaques d'horloge et d' analyses de puissance. II est? 
done important que ces calculs soient securises de sorte" 
que les informations sur la cle ne puissent etre obtenues.. 

En meme temps, il est important que ces calculs' 
soient rapides et precis. La multiplication et la- 
reduction de grands entiers est generalement la partie 
exigeant le plus de calculs d' un algorithme 
cryptographique. Plusieurs techniques distinctes de calcul 
ont ete developpees en vue d'une reduction modulaire 
efficace, y compris celles connues sous le nom de methode 
de Quisqueter, de methode de Barrett et de methode de 
Montgomery, et de modifications impliquant des calculs 
preliminaires et une consultation de table. Ces techniques 
bien connues sont decrites et comparees dans l'art 
anterieur. Voir, par exemple : (1) A. Bosselaers et al . , 
« Comparison of three modular reduction functions », , 
Advances in Cryptology/Crypto '93, LNCS 773, Springer- 
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30 



Verlag, 1994, pp. 175-186. (2) Jean-Frangoi s Dhem, 
« Design of an efficient public key cryptographic library 
for RISC-based smart cards », these de doctorat, 
Universite catholique de Louvain, Louvain-la-Neuve,' 
Belgique, mai 1998. (3) C. H. Lim et al . , « Fa st Modular 
Reduction with Precomputation », publication preliminaire, 
1999 (disponible a la CiteSeer Scientific Literature 
Digital Library, citeseer.nj.nec.com/10 95 04.html). ( 4) 
Hollmann et al . , « Method and Device for Executing a 
Decrypting Mechanism through Calculating a Standardized 
Modular Exponentiation for Thwarting Timing Attacks » 
brevet US n°6 366 673 Bl, Apr. 2 2002 (base sur la demande 
deposee le 15 septembre 1998) . 

Un objectif de la presente invention est d'ameliorer 
15 la methode de reduction modulaire de Barrett et le 
dispositif de calcul a cet effet, afin de le securise 
davantage centre les attaques de cryptoanalyse, tout 
continuant a obtenir des resultats rapides et precis. 

Un autre objectif de la presente invention est de 
proposer la methode amelioree susmentionnee et 
dispositif qui accelere 1' estimation de quotient. 

Ces objets sont atteints par une methode de reduction 
modulaire executee par ordinateur dans laquelle un 
quotient utilise pour le calcul est systematiquement sous- 
estrme avec une erreur aleatoire de guelques bits, par 
exemple de moins d'un demi-mot. Le reste resultant est 
toujours congruent par rapport au produit intermediate 
correspondant associe au module specifie, mais est plus 
grand que la valeur residuelle et differe de facon 
aleatoire d'une execution a 1'autre. Du fait que le 
quotient a seulement besoin d'etre approxime, son 
estimation est plus rapide. Du fait que 1'erreur 



20 



25 



r 
en 



un 
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d' estimation est deliberement aleatoire, cette methode est 
plus sure pour la prevention contre la cryptoanalyse. 
Toutefois, les resultats intermedial res sont 
mathematiquement equivalents (congruents par rapport aux 
resultats reels) , et le resultat final (apres un ensemble 
final de soustractions du module) est exactement le meme, 
ce qui permet d'atteindre la precision necessaire pour 
pouvoir inverser les operations cryptographiques . 

L'equipement utilise pour executer les etapes de la 
methode selon la presente invention comprend un generateur 
de nombres aleatoires pour injecter une erreur aleatoire 
dans 1' estimation du quotient. Une unite de calcul a acces 
memoire et injection de report opere sous controle d'un 
micrologiciel executant un sequenceur d' operations pour 
executer les etapes de multiplication-accumulation au 
niveau mot necessaires a la multiplication et a la 
reduction modulaire de grands entiers . 

La figure 1 est une vue en plan schematique de 
l'equipement de calcul selon la presente invention (y 
compris un generateur de nombres aleatoires) utilise pour 
executer la methode de reduction modulaire selon la 
presente invention . 

La figure 2 est un organigramme illustrant les etapes 
generales de la presente methode de reduction modulaire. 

Sur la figure 1, l'equipement de calcul comprend une 
unite de calcul 10 capable d' executer les etapes de 
multiplication au niveau mot et de multiplication- 
accumulation d'operandes extraits a partir de la memoire 
(RAM) 12 et de termes de report issus des registres 14. Le 
sequenceur d' operations 16 comprend des circuits logiques 
pour controler 1' unite de calcul 10 en accord avec les 
instructions de micrologiciel ou de logiciel pour executer 
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l f ensemble des operations de multiplication (ou 
d' exponentiation) et la reduction modulaire de grands 
entiers. Les parametres des operations, stockes dans les 
registres 18 accessibles par le sequenceur d' operations 
16, consistent en pointeurs qui permettent au sequenceur 
d' operations de situer un operateur dans la RAM 12, ainsi 
que des informations sur la longueur (nombre de mots) des 
operandes, les informations de controle d' injection de 
reports, et l'adresse de destination des resultats 
intermediates . Jusqu'a present, ce dispositif est 
pratiquement similaire aux autres equipements adaptes aux 
operations arithmetiques sur les grands entiers. En dehors 
des details des etapes de reduction, qui seront decrits 
plus bas, les instructions de. micrologiciel ou de logiciel 
sont egalement similaires aux programmes anterieurs pour 
1' execution de multiplications ou d' exponentiations 
efficaces sur des grands entiers dans des segments de 
niveau mot. 

A la difference des equipements anterieurs de ce 
type, l'equipement de la figure 1 comprend egalement un 
generateur de nombres aleatoires 20 qui, par exemple, peut 
etre tout circuit generateur de nombres pseudo-aleatoires 
connu . Ce generateur de nombres aleatoires execute un 
calcul et produit un nombre aleatoire utilise dans la 
presente methode. Ici le generateur de nombres aleatoires 
20 est accede par 1' unite de calcul 10, sous commande du 
sequenceur d' operations 16 en accord avec les instructions 
de programmes executant la methode selon la presente 
invention, de fagon a injecter la quantite d'erreur 
aleatoire dans 1' estimation du quotient, comme decrit ci- 
dessous . 
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Sur la figure 2, la methode selon la presente 
invention est une amelioration de la technique de 
reduction modulaire de Barrett, en executant une 
estimation de quotient plus rapide et en permettant de 
resister aux attaques de cryptoanalyse . Cette methode est 
executee par l'equipement de la figure 1* 

La reduction modulaire resout generalement 



R a X mod M ■ X - LX/MJ M, ou R est la valeur 
residuelle a determiner qui est congruente avec X pour le 

module M, et le symbole LaJ represente la partie entiere 

(le plus grand entier <s a) de telle sorte que Lx/mJ 
correspond a une division d' entier. Le nombre X a reduire 
est typiquement un produit de deux grands entiers 

(generalement premiers), X = A.B, autrement dit l'un ou 
les deux parmi les entiers A et B ont une taille de 
plusieurs mots (ex. A et B peuvent etre chacun de 1024 
bits, ou 32 mots de 32 bits de long) . Dans tous les cas, 
le probleme de base dans toute methode de reduction 



modulaire reside dans 1' evaluation du quotient q - Lx/mJ 
de maniere efficace pour de grands nombres (multi-mots) X 
et M. Dans la presente invention, un probleme 
supplemen taire reside dans 1' execution de la reduction 
d'une maniere securisee contre les attaques d' analyse de 
puissance dans les applications cryptographiques . 

La methode de Barrett implique le calcul preliminaire 
et le stockage d'une estimation mise a l'echelle de la 
reciproque du module, U, et le remplacement de la longue 
division par des multiplications et des decalages de mots 
(division par b) afin d'estimer le quotient. Avec le choix 
approprie de parametres, 1'erreur d' estimation du quotient 
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est au plus de deux. La presente invention ameliore la 
methode de Barrett en effectuant seulement une 
approximation du quotient par une estimation moins precise 
mais plus rapide, et en injectant intentionnellement une 
erreur aleatoire dans le quotient avant de calculer le 
reste. Le reste resultant sera plus legerement plus grand 
que, mais congruent avec, la valeur residuelle. 

Supposons que w represente la taille de mot (ex. w = 
32 pour les processeurs 32 bits), b = 2 W represente la 
racine, n est la longueur du module M en mots, ou 

M - 2i=o n-1 mibS 
0 < m n _i < b, 

0 <; mi < b, pour i = 0 a n-2, 
b n_1 ^ M < b n , 

et X est le nombre a reduire, qui a une longueur 
maximum de 2n +1 mots, c'est-a-dire que 

X = 2i=o 2n x ± bS 

0 ^ xi < b, pour i - 0 a 2n f 

0 ^ X < b 2n+1 (ou M ^ X < b 2n+1 , dans certaines 
cir con stances ) 

Nous commengons a calculer de fagon preliminaire et a 
stocker (etape 30 de la figure 2) une constante U 
representant la reciproque mise a I'echelle du module M 



Cette valeur stockee est alors utilisee ensuite dans 
toutes les operations de reduction de ce module 
particulier M. U a toujours une longueur de n+1 mots pour 
chaque module M qui n'est pas une puissance de b. 
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Pour executer une reduction de module de X f nous 
estimons un quotient q (etape 32) en utilisant la valeur 
stockee U, 

q = L(Lx/b n J .U ) /b n+2 J = L (Lx/2 nw J .u) /2 nw+2w J 

Ceci n'exige que des multiplications et des decalages 
de mots pour le calcul . Les parties entieres tendent a 
garantir que le quotient q est toujours sous-estime 
(jamais surestime), bien qu'il soit possible que 
1' estimation du quotient se revele etre exacte. Une 
soustraction supplementaire de un peut etre incluse si une 
sous-estimation est necessaire. Le quotient U et 
1' estimation du quotient different tous deux de celles de 
Barrett d'un decalage supplementaire d'un mot chacun. 

(Barrett utilise U - ib 2n /rJ et q = L ( Lx/b"" 1 J .U ) / b n+1 J 

. ) Le quotient estime q ^ 0 aura une longueur maximum de 
n+1 mots. 

A ce stade, il est preferable d'injecter (etape 36) 
une erreur aleatoire E dans le quotient calcule de fagon a 
obtenir un quotient aleatoire, q f = q - E. Dans ce cas, 
nous devons avoir M . 2 w/2 <; X <b 2n+1 pour eviter d' avoir 
des nombres negatifs. L' erreur aleatoire E peut etre 
generee (etape 34) a partir de tout generateur de nombres 
aleatoires ou pseudo-aleatoires (materiel ou logiciel) . La 
seule contrainte est que l'erreur soit dans une plage 
specifiee, de telle sorte que 

0 ^ E < (2 W/2 - 1) 

Ceci limite l'erreur potentielle introduite par le 
generateur aleatoire a un nombre de bits specif ie, ex. un 
demi-mot, en plus de toute erreur provenant de 
1' estimation du quotient elle-meme. 
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Nous calculons ensuite (etape 38) le reste R' qui 
sera congruent (module M) avec la valeur residuelle R : 

R' = X - q'M 

Du fait que le quotient q est sous-estime, et qu'une 
erreur aleatoire E est introduite, le reste R' ;> R, a 
savoir le reste calcule, sera superieur ou egal au residu 
d f un petit multiple aleatoire du module M. 

Le reste aleatoire R' peut etre utilise dans des 
calculs ulterieurs (etape 48), du type multiplication ou 
addition, avec un autre reste R' ' (aleatoire ou non) qui, 
si necessaire, est encore reduit (en revenant a 1' etape 
32) pour la coherence. (L' erreur reste limitee) . 

En variante, si un resultat aleatoire n'est pas 
requis, nous pouvons choisir de conserver le quotient 
rapproche q (etape 44) . Dans ce cas, nous pouvons avoir 0 
<; X £ b 2n+1 . Le fait de conserver le quotient proche va 
permettre d'obtenir le vrai reste (etapes 46 et 40). 

Finalement, en fonction des besoins de 1 ' application 
particuliere, le residu R peut etre calcule a partir du 
reste R' en appliquant des sous tractions du module M 
(etape 40) jusqu'a ce que cette valeur soit inferieur a M. 
La valeur residuelle R qui est egale a R f apres la 
soustraction finale peut alors etre renvoyee afin d'etre 
utilisee dans le reste du systeme cryptographique (etape 
42) . 

La randomisation de la reduction modulaire constitue 
une protection contre les diverses attaques de 
cr yp toanaly se qui reposent sur la Constance de 
1 ' utilisation des puissances pour determiner le module. 
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Ici, la reduction de X modulo M varie de fagon aleatoire 
d'une execution a 1' autre, tout en continuant a produire 
un reste interrnediaire R' qui est congruent. Le nombre de 
soustractions a la fin pour generer une valeur residuelle 
5 finale R varie egalement de fagon aleatoire d'une 
execution a 1' autre. Le nombre X a reduire de cette fagon 
peut etre obtenu a partir de diverses operations 
mathematiques, y compris la multiplication, la mise au 
carre, 1 ' exponentiation , 1'addition, etc. De meme, le 

10 module M a utiliser peut etre derive de plusieurs 
manieres, le plus souvent en cryptographie a partir d'une 
cle. La methode de reduction modulaire aleatoire selon la 
presente invention est utile dans de nombreux algorithmes 
cryptographiques qui reposent sur cette reduction, dont 

15 les systeme cryptographiques a cle publique bases sur des 
grands premiers (par exemple RSA) et bases sur une courbe 
elliptique . 
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REVENDI CATIONS 

1 . Methode de reduction modulaire executee par 
ordinateur securisee a des fins cryptographiques , 
comprenant : 

le calcul preliminaire et le stockage en memoire 
d'une constante U representant une reciproque 
approximative au niveau bits d'un module M ; 

1' estimation d'un quotient approximatif q pour un 
nombre X a reduire modulo M, dans lequel ladite estimation 
est executee sur X dans une unite de calcul, par 
multiplication par ladite constante U et par decalages de 
bits de X et par decalage de ladite multiplication ; 

la generation dans un generateur de nombres 
aleatoires d'une valeur d'erreur aleatoire E et 
1' application de ladite valeur d'erreur audit quotient 
approximatif pour obtenir un quotient aleatoire 
q' = q - E ; et 

le calcul d'un reste R' = X - q'M dans ladite unite 
de calcul, ledit reste etant superieur audit module M mais 
congruent avec X modulo M. 

2 . Methode selon la revendication 1 dans laquelle le 
calcul preliminaire de ladite constante U est execute 

selon 1' equation U = L^VmJ, ou b = 2\ w etant la taille 
en mots de 1' unite de calcul en bits. 

3 . Methode selon la revendication 2 dans laquelle 
1' estimation du quotient approximatif q est executee par 

l'unite de calcul selon l'equation q = L ( Lx/b n J .U ) /b n+2 J 
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4 . Methode selon la revendicat ion 3 dans laquelle une 
soustraction supplementaire de un est comprise dans 
1' estimation du quotient. 



5 . Methode selon la revendication 1 dans laquelle la 
reduction modulaire de X fait partie d'un programme de 
cryptographie execute par ordinateur. 

6 . Methode selon la revendication 1 dans laquelle un 
trajet de circulation alterne est assure entre la 
generation et 1 ' application d' une valeur d'erreur au 
quotient approximatif peut etre omise de fagon selective. 



7 . Methode selon la revendication 1 dans laquelle le 
generateur de nombres aleatoires a une limite d'erreur 
specif iee d'un demi-mot, moyennant quoi 0 <; E < (2 w/2 - 1) . 

8. Equipement de calcul pour 1' execution d' une methode 
de reduction modulaire securisee a des fins 
cryptographiques, cet equipement comprenant : 

une unite de calcul adaptee pour executer des etapes 
de multiplication et d' accumulation au niveau mots sur des 
operandes extraits de la memoire et des termes de report 
issus d'un ensemble de registres ; 

un generateur de nombres aleatoires pour generer une 
valeur d'erreur aleatoire E / 

un sequenceur d' operations comprenant des circuits 
logiques pour controler 1'unite de calcul, et un 
generateur de nombres aleatoires en accord avec des 
instructions de programme afin d' executer la reduction 
modulaire d'un nombre X par rapport a un module M, ce qui 
implique au moins une estimation d'un quotient 
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approximatif q a partir d'une constante stockee au 
prealable U representant une reciproque approximative en 
bits du module, une randomisation dudit quotient 
approximatif avec ladite valeur d'erreur E pour obtenir un 
quotient aleatoire q' = q - E, et un calcul d'une valeur 
de reste R' - X - q'M. 

9 . Equipement de calcul selon la revendicat ion 8 
comprenant en outre des registres de parametres 
d'operations accessibles par ledit sequenceur 
d' operations, lesdits registres contenant un ou plusieurs 
parmi (a) des pointeurs pour situer 1'operande dans ladite 
memoire, (b) des informations sur les longueurs des 
operandes, (c) des informations de controle d' injection de 
report pour les registres de termes de report, et (d) des 
informations d'adresses de destination pour les resultats 
intermediaires des etapes d/ operations . 

10. Equipement de calcul selon la revendication 8 dans 
lequel la constante prestockee U dans ladite memoire est 
obtenue par un calcul preliminaire selon 1' equation U = 



calculs en bits. 

11. Equipement de calcul selon la revendication 10 dans 
lequel 1 ' estimation dudit quotient approximatif q executee 
par ladite unite de calcul sous controle dudit sequenceur 
d'operations executant les executions de programme est 

effectuee selon 1'equation q = L ( Lx/b n J .U ) /b n+2 J . 
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12. Equipement de calcul selon la revendication 11 dans 
lequel 1 ' estimation de quotient executee par 1' unite de 
calcul comprend une soustraction supplementaire de un . 

13. Equipement de calcul selon la revendication 8 dans 
lequel le generateur de nombres aleatoires a une limite 
d'erreur specif iee d'un demi-mot, moyennant quoi 0 <; E < 

(2 w/2 _ 1} m 
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